Příspěvky

1

Server / Re:Virtualizace Hyper-V vs. VM

« kdy: 26. 09. 2024, 09:33:52 »

PCI passthrough tam je největší kámen úrazu HW a UEFI samotného serveru, proto tolik problémů okolo toho.
Proxmox a KVM lidi rozjíždějí na kdejakém starém šrotu a pak se nelze divit, že naráží na zádrhely.

Pokud se obejdeš bez PCIpassthrough, jdi do Proxmoxu/QEMMU/KVM.

To je blbost. PCI passthrough funguje na Qemu/KVM, jsme na tom uspesne preportovali drivery z linuxu na win.

Host byl Proxmox (ale na tom nezalezi, je to stary kripl, dnes bych volil ciste qemu)
Guest byl Linux i Windows
HW zarizeni nase PCIe FPGA karta s vlastnim DMA.

Nejvetsi problem starych systemu je, ze nemaji dost male IOMMU grupy, ale to vetsinou resi ACS patch do kernelu.
Samozrejme s dopadem na bezpecnost.

2

Hardware / Re:Podivné kopírování mezi dvěma NVMe disky

« kdy: 24. 09. 2024, 11:37:49 »

Ja bych vsadil na spatnou RAM.

Ramkou to na 100% neni. To by mel BSOD co chvili.. on ma jenom spatna data na disku. Takze problem tech SSD.

Ehm.

3

Sítě / Re:Síťová karta 10 Gb/s pro Proxmox VE

« kdy: 23. 09. 2024, 17:03:09 »

Nevim, pro jsi dal odkaz na Fibre Channel. To jsou karty pro SAN.
Asi chces tuhle https://www.czech-server.cz/intel-adapter-x520-da2-2-port-10-gbit-s-sfp-ethernet-pcie-x8-901227-900139-927249-940689_d87721.html

4

Hardware / Re:Podivné kopírování mezi dvěma NVMe disky

« kdy: 23. 09. 2024, 16:58:56 »

Ja bych vsadil na spatnou RAM.

5

Odkladiště / Re:Může uniknout doména certifikátu?

« kdy: 07. 09. 2024, 21:53:36 »

K původní otázce: Server asi může ten certifikát vzít a někde se na něj přeptat. Jestli to ale některý dělá, to netuším.

Delaji to naprosto bezne. Viz https://en.wikipedia.org/wiki/OCSP_stapling.

6

Server / Re:Aky file system pre DB server?

« kdy: 01. 09. 2024, 15:20:11 »

XFS je dobry na, akurat ze nema ziadnu detekciu zlyhani disku alebo "bit rotu"(zlyhanie pametovych buniek v pcb), takze pre DB alebo kriticke datove ulozisko to nie je vhodne lebo moze odfajcit celu db.
...
PS: o snapshoty na urovni disku mi vobec nejde. To som len tak spomenul ako vyhodu BTRFS ale nie je to nieco co riesim/chcem.. Ide mi primarne o to aby FS vedel zabranit poskodeniu dat a neodfajcil rychlo disky(privela zapisov a citani). Proste nieco na com ma bezat kriticka db a nie obycajna db pre webstranku kde problem s diskom nie je koniec sveta.

XFS muze resit integritu dat pres T10/DIF/DIX, ale to uplny socka HW neumi.

7

Server / Re:Aky file system pre DB server?

« kdy: 01. 09. 2024, 11:16:20 »

Rozdíl mezi serverovými a desktopovými disky je třeba v tom, že ten serverový se ve stanovené době přestane pokoušet o přečtení chybného sektoru. (Desktop se snaží data zachránit. Serverový spoléhá na paritu Raidu, tak to vzdá.)

Nazor, ze desktopovy disk se pozna podle vypnuteho TLER/ERC, lze povazovat za smesny.

8

Studium a uplatnění / Re:Snížení mezd v IT

« kdy: 01. 07. 2024, 10:28:22 »

mzda DevOps 80k eur (věřím že mnichov by dal 100k), a v ČR nyní 110k CZK.

Jasně, DE devops 2 mega czk VS 100k czk v čr. 
Dost už těch pohádek pánové, tohle už je fakt krutě smutné scifi.

Nemusis ze sebe delat debila. Tady kazdy chape, ze 80k eur je myslena rocni mzda a 110k CZK mesicni.
Takze je to 2 mega vs. 1,32 mega.

9

Sítě / Re:Zvláštní reflected SYN ACK útok

« kdy: 20. 04. 2024, 13:05:40 »

Autor si z vas
a) dela zadek
b) nevi, jak funguje TCP

Kdyz dostanu SYN, poslu SYN/ACK.
Kdyz nedostanu ACK, pockam predem definovany interval (1s) a poslu znovu.
Kdyz porad nedostanu ACK, zdvojnasobim interval, pockam a poslu SYN/ACK znovu.
Opakuji, dokud nedosahnu hodnotu z /proc/sys/net/ipv4/tcp_synack_retries.

Problem vidim v tom, ze se autoruv SYN/ACK nedostane ke zdroji SYN a ten nevi, ze ma poslat ACK.

10

Hardware / Re:Konkrétní výhody starých enterprise serverů

« kdy: 18. 04. 2024, 19:39:23 »

V zasade asi jenom remote management(IPMI), ECC pameti (v pripade Intelu), pocet PCI-E linek a hotswap vseho mozneho.

11

Server / Re:Přeposílání pošty mezi více příjemci

« kdy: 13. 02. 2024, 11:40:47 »

SRS je klasika, ale nejnověji by to chtělo ARC, viz https://en.wikipedia.org/wiki/Authenticated_Received_Chain

(osobně se mi to ale nepodařilo zatím nastavit, dokumentace sux)

Neni to tak slozite.
Zkompilujes si https://github.com/trusteddomainproject/OpenARC, do konfigurace nastavis selektor, domenu a klic pro podpis a pridas milter do postfixu.

12

Studium a uplatnění / Re:DevOps

« kdy: 02. 11. 2023, 19:26:25 »

Jenkins/Gitlab? Terraform?

13

Sítě / Re:NAT | Connection tracking | nftables

« kdy: 14. 09. 2023, 12:09:48 »

Kdybys mel misto 'table ip raw' 'table inet raw', tak to automaticky zafunguje i na IPv6.
Na nf_flowtable si zaloz novy dotaz. Ja ho nepouzivam a necekal bych, ze ostatni budou cist vsechny diskuze az do konce.

14

Sítě / Re:NAT | Connection tracking | nftables

« kdy: 14. 09. 2023, 09:50:24 »

fib daddr type local pozna ipcka na routeru, abys mohl psat pravidla pro chain input, ktera obvykle zacinaji necim jako

Kód: [Vybrat]

        chain input {
                type filter hook input priority 0; policy accept;
                ct state invalid drop
                ct state established,related accept


15

Sítě / Re:NAT | Connection tracking | nftables

« kdy: 13. 09. 2023, 18:15:55 »

Pridej si do raw pred finalni accept ten fib daddr type local accept.
V zasade jenom rikas, ze spojeni na lokalni ipcka se taky maji trackovat, takze pro vlastni router mas k dispozici normalni statefull firewall.